Red Seguridad 081

48 red seguridad segundo trimestre 2018 especial reportaje ciberseguros monográfico Riesgos y coberturas Una vez realizado este análisis y vista la idoneidad de su contratación, lo normal es establecer un mapa de ries- gos que pueden afectar a la empresa. "Los riesgos cubiertos son las pér- didas económicas derivadas funda- mentalmente de un fallo de seguridad (ciberataques, DDoS, malware , ran- somware ), errores humanos (fallo de sistema) o un fallo de la privacidad de la información", indica Gómez, de AON. Estas pérdidas son muy diver- sas, y van desde responsabilidades frente a terceros por dichos fallos, procedimientos regulatorios en mate- ria de protección de datos, gastos derivados de la gestión de crisis y pérdida de beneficios o extracostes en caso de paralización de sistemas. De la misma forma se pronuncia Jiménez, de AIG, quien considera que, actualmente, "los ciberseguros han aumentado la lista de riesgos posibles que han de cubrir, como pueden ser los de actividades multi- media, extorsión cibernética y la pér- dida de beneficio que puede ocasio- nar tanto un fallo de seguridad como en los sistemas". Por su parte, Velandia, de Chubb, explica que "la póliza incluye cober- turas de daños a terceros y daños propios. Los primeros hacen referen- cia a reclamaciones de terceros que se vean afectados por un incidente cibernético en el sistema informáti- co del asegurado". Por ejemplo, ahí entran los casos de clientes directos que hayan sufrido vulneración de su privacidad y/o información confi- dencial, que hayan visto afectada su operación, terceros que tengan cos- tes adicionales como consecuencia del incidente cibernético, e incluso accionistas que vean afectadas sus inversiones debido a una caída en el precio de la acción de la compañía, entre otros. Por otro lado, prosigue, "los daños propios abordan todos aquellos cos- tes internos que el asegurado deba asumir como son sanciones impues- tas por la Agencia Española de Protección de Datos (AEPD), extor- sión cibernética, pérdida de benefi- cios por paralización parcial o total de su actividad, y gastos de mitigación y de respuesta ante un incidente". En este rango se encuentran: "la notifi- cación a la AEPD y a los afectados, el análisis informático forense, los servi- cios de empresa de relaciones públi- ca, la asesoría legal para reclamar ante terceros que hayan provocado el incidente, el incremento de los costes de mano de obra, el uso de equipos externos alquilados o la implantación de método de trabajo alternativo, entre otras", manifiesta. Ahora bien, hay otra serie de sus- puestos que no entrarían entre las opciones cubiertas. Algunos de ellos los enumera Abreu, de Hiscox: "La póliza está pensada para cuando ocu- rra un ataque, por lo que una inciden- cia derivada, por ejemplo, del mante- nimiento de los sistemas no entraría en esta póliza, sino en otras como la RC Profesional". Y no es lo único. Todo lo relacionado con un fallo en la pres- tación de un servicio público (como la electricidad), los daños materiales y personales o las pérdidas deriva- das de riesgos nucleares o la gue- rra también están excluidas; aunque, según puntualiza Abreu, "casi todas las exclusiones tienen salvedades. Sin embargo, las que más preocupan a los empresarios es la exclusión de dolo o actos deshonestos". En este punto, Lozano, de Incibe, hace una puntualización importante: "Han de considerarse las posibles exclusiones u obligaciones relativas al mantenimiento de sistemas y, concre- tamente, en lo relativo a las políticas de actualizaciones y parcheado de aplicaciones". No en vano, este orga- R ecomendaciones antes de contratar un ciberseguro Antes de contratar una ciberpóliza, desde Incibe proponen llevar a cabo por parte de las organizaciones un análisis de riesgos inicial para el pos- terior estudio de este tipo de productos y considerar si pueden ayudar. En palabras de Marco Antonio Lozano, coordinador de empresas y profesio- nales de este organismo, "el análisis indicará qué procesos y activos de la organización se han de proteger. En ocasiones, es probable que no sea necesaria la contratación de una póliza de ciberriesgos, pero habrá otras en las que abaratará enormemente la protección con respecto a implementar una medida tecnológica". En este punto también desempeña un papel importante la red de corre- duría de la empresa asegurada, en el sentido de "transmitir conocimiento y confianza en el producto", en palabras de Abreu, de Hiscox. "Uno de nuestros grandes retos es realizar un esfuerzo extra, en labor pedagógica, para que los corredores y los clientes finales entiendan cómo funcionan este tipo de pólizas. Es importante que las compañías españolas cambien de mentalidad y afronten este nuevo riesgo, no pensando en qué pudiera suceder, sino pensando en qué van a hacer cuando suceda, porque tarde o temprano ocurrirá", explica el directivo. Por otro lado, y desde el punto de vista de un usuario convencional, la contratación de una póliza de estas características quizá suponga un des- embolso demasiado elevado, en relación a lo que quiere proteger. Por eso, el representante de Incibe aconseja, "llevar a cabo una política de copias de seguridad", puesto que, en la mayoría de los casos, "puede mitigar casi cualquier problema o incidente de ciberseguridad en el ámbi- to doméstico". No obstante, remarca, "dependerá de la importancia que el usuario le dé a la información que quiere proteger".